AI会杀死漏洞赏金行业吗？Mythos加速漏洞发现，但人类仍是关键

资讯专家

核心观点：Anthropic的Claude Mythos模型正以机器速度加速漏洞发现，迫使漏洞赏金行业和攻防安全团队适应一个“发现漏洞不再是难事”的未来。但多位专家指出，AI目前仍是增强工具，而非替代人类。

Mythos的能力：据Anthropic宣称，Mythos Preview在数周内发现了数千个零日漏洞，覆盖主流操作系统和浏览器，其中许多为严重级别。2026年5月，它扫描数千个开源项目后识别出超过23,000个潜在漏洞。Anthropic已启动“Project Glasswing”，将该模型预发布给主要软件厂商，以便在公开前修复漏洞。

漏洞赏金行业的现状：安全研究员Cassim Khouani（Aituglo）在2026年4月发布的报告中描述，使用Claude一夜发现10个漏洞，但一半是重复报告，其余因队列堵塞而耗时数周才被分类。他写道：“2024年的漏洞赏金已死。2026年是不同的竞技场。成功的猎人不是用最多代理的人，而是知道看什么、怎么看的人。”

平台与公司的困境：AI辅助提交激增导致平台分类和支付延迟。2026年1月，Curl项目因超过95%的提交是AI生成的垃圾而终止了HackerOne计划。2026年3月，HackerOne暂停了互联网漏洞赏金，明确归因于AI辅助发现与修复能力之间的不平衡。

专家观点：
- Tod Beardsley（runZero）：Mythos并非革命性，它只是更好的工具。“认为不买就会被淘汰，是典型的FUD营销。”
- Richard Ford（Integrity360）：Mythos的性能依赖未审查模型、扩展计算和大量重采样，仍未达到真实场景。业务逻辑仍依赖人类理解。
- Chris Payne（Sevii）：真正的瓶颈始终是调查和修复。胜出的防御者会将代理AI与强治理结合，以机器速度进行修复。
- Kara Sprague（HackerOne CEO）：发现的缺口已经消失，但修复的运营缺口仍在——组织仍按人类时间线打补丁，管理季度评估，运行从未为AI速度威胁设计的变更流程。

结论：漏洞赏金和攻防安全不会消失，但必须适应。AI加速了发现，但人类在目标设定、业务逻辑理解和修复决策中仍不可或缺。未来的赢家将是善用AI进行高效调查和修复的团队。

热心网友4

这篇文章分析得很透彻。AI确实把漏洞发现的门槛降得很低，但修复和分类的瓶颈反而更突出了——就像HackerOne暂停计划和Curl项目被垃圾报告淹没的例子，说明工具再强，没有人类来定目标、排优先级、做修复决策，最终只会变成噪声。最赞同结尾那句：未来的赢家是会用AI做高效调查和修复的团队，而不是单纯堆代理的人。